网络安全服务
采购技术要求书
一、项目概况及总体要求
为推进国家《网络安全法》、网络安全等级保护制度2.0等相关法律法规的落地实施,推动甲方公司关于网络安全保障工作相关要求的贯彻执行,拟通过网路安全服务项目,理清全网信息资产,全面摸排网络安全风险,优化网络安全管理体系,提升网络安全保障水平。二、项目内容和范围
1.项目内容
本项目主要包括甲方公司信息资产发现与梳理、信息系统渗透测试、安全管理制度体系优化。
依据国家法律法规及相关网络安全政策标准,结合业界最佳安全实践,对甲方公司的内外网信息资产进行梳理,结合摸排的信息资产情况,绘制符合当前现状的网络拓扑图,针对重要信息系统开展渗透测试,深入挖掘和整改应用层面安全风险,完善和优化甲方公司的网络安全管理
制度,为网络安全工作的开展和落实提供指导?口支撑,达到逐步提高网络安全保障能力水平的目标。
2.工作量清单
序号 | 服务内容 | 单位 | 数量 | 备注 |
1 | 资产发现资产 识别 | 项 | 1 | 对甲方公司内部网络资产进行主动扫描和分析,发现内部网络资产,形成资产列表和资产画像,并梳理网络环境绘制相应拓扑结构图。资产范围包括服务 |
器、网络设备、安全设备等各类资产, 覆盖资产数量不低于IOOo台。 | ||||
资产发现资产 分析 | 项 | 4 | 资产调整及威胁发现:安全分析工程师到客户现场进行分析,在客户允许的管理终端上通过Web方式连接天眼设备,完成部分分析工作,其他分析工作需通过工具标本方式、以及人工分析方式在客户现场完成,如在现场发现高危告警事件,在授权的情况下可进行验证,编制报告并提交客户。 | |
2 | 渗透测试 | 项 | 2 | 人工非破坏性安全测试。通过远程或现场方式,对用户的信息系统进行模拟攻击或入侵,利用测试人员的专业知识来识别用户信息系统的未知漏洞。渗透测试过程涉及对目标系统进行主动分析,以发现可能由于系统配置不当而导致的潜在漏洞,包括已知和未知的软件缺陷以及流程和技术措施中的操作弱点。测试目标包括但不限于互联网网站、APP.内网办公系统、业务系统等各类系统,系统数量不彳氐于20个。 |
渗透测试系统 层测试 | 项 | 2 | 系统层安全渗透测试包含的内容有:口令猜解、溢出测试、系统漏洞、漏洞扫描、安全基线分析等。 | |
渗透测试中间 件测试 | 项 | 2 | WEB中间件渗透测试包含的内容有: 缓冲区溢出、路径和参数安全、测试和帮助页面、峭和口令等。 | |
渗透测试应用 层测试 | 项 | 2 | 应用渗透测试包含的内容有:信息收集、身份验证、授权和加密、输入和数据验证、配置管理、敏感数据、会话管理等内容。 | |
3 | 制度预案编制 | 项 | 2 | 针对可能发生的网络安全突发事件,为保证迅速、有序、有效的开展应急救援行动,降低事故损失而预先指定的包括网络信息系统运行、维持、恢复在内的策略和规程。预案覆盖网站篡改、信息泄露、钓鱼邮件、恶意程序等网络安全事件场景,预案数量不低于4个。 |
(一)信息资产发现与梳理
信息资产发现与梳理应分别从资产及应用发现、资产画像绘制、网络拓扑绘制等几个方面开展,故该部分需求也从这几个阶段逐层展开,详细阐述每个阶段的具体建设需求。
(1)资产及应用发现
通过数据挖掘和调研的方式确定甲方公司资产范围,之后基于IP或域名,采用WEB扫描技术、操作系统探测技术、端口的探测技术、服务探测技术、WEB爬虫技术等各类探测技术,对客户信息系统内的主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)。
(2)资产画像绘制
web应用防护系统在资产及应用发现的基础上,实施人员应对每个业务梳理分析,依据信息系统实际情况、业务特点、资产重要度等信息,结合信息安全的最佳实践进行归纳,最终针对性地形成甲方公司
专属的资产画像,构建起甲方公司专属的信息安全资产画像。
(3)网络拓扑图绘制
基于内外网信息资产发现及梳理的结果,通过对甲方公司网络结构、安全防护措施部署情况、安全域划分情况等方面进行充分的调研,绘制贴合甲方公司实际物理部署的网络拓扑图,实现对网络的全方位掌握。
(二)信息系统渗透测试
信息系统渗透测试应包括但不限于以下五个阶段:测试前准备阶段、信息收集阶段、测试实施阶段、复测阶段、成功汇报阶段。
(1)测试准备阶段
在实施渗透测试工作前,负责项目实施的技术人员应与甲方公司对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终又搀、测试方式、测试要求的时间等内容,甲方公司签署渗透测试授权书。在测试实施之
前,需让甲方公司对安全测试过程和风险的知晓,使随后的正式测试流程都在甲方公司的控制下。
(2)信息收集阶段
通过安全测试工具进行信息收集,内容包括:操作系统类型收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。
(3)测试实施阶段
在测试实施过程中,测试人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作。然后由人工的方式对安全扫描的结果进行人工的确认和分析,并且根据收集的各类信息进行深入渗透测试,测试人员在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权,此过程将循环进行,直到测试完成。测试人员需整理渗透测试服务的输出结果并编制渗透测试报告,最终提交甲方公司和对报告内容进行沟通。
(4)复测阶段
在经过初次渗透测试报告提交和沟通后,等待甲方公司针对渗透测试发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,即二次复测。复测结束后提交给甲方公司复测报告和对复测结果进行沟通。
(5)成果汇报阶段
根据初次渗透测试和二次复测结果,整理渗透测试服务输出成果,进行最后汇总汇报。
(三)网络安全管理制度优化
基于甲方公司的网络安全管理现状,从安全策略管理、组织人员管理、安全建设管理、安全运维管理等方面构建安全管理体系,完善安全管理制度、安全管理组织及安全管理流程,具体从以下几个方面展开:
明确安全管理制度策略,形成安全工作总体方针、安全策略、管理制度、操作规程;
发表评论